1 48 Table of Contents 50 52

FN_123

MAGGIO 2025 FIELDBUS & NETWORKS 47 provocare l’attivazione non intenzionale di un arresto di emergenza, con gravi conseguenze per la sicurezza fisica degli operatori. Per questo motivo, safety e security non possono più essere considerate discipline separate: la protezione delle funzioni di sicurezza passa inevitabilmente attraverso la protezione dei dati su cui esse si basano. La comunicazione ‘safe’ nei sistemi di automazione Nel contesto dell’automazione industriale, una comunicazione può essere definita ‘safe’ quando è in grado di trasmettere comandi e dati rilevanti per la sicurezza in modo deterministico, affidabile e verificabile, anche in pre- senza di guasti o interferenze. Affinché una comunicazione possa rientrare all’interno di una funzione di sicurezza, essa deve garantire la disponibilità, l’integrità, l’autenticità e la tempestività delle informazioni, rispettando i requisiti stabiliti dalle principali normative tecniche internazionali. Vediamo quali. • La norma IEC61508 fornisce il quadro generale per la sicurezza fun- zionale dei sistemi elettrici, elettronici ed elettronici programmabili (E/E/PE). Al suo interno vengono definiti i principi di progettazione, valutazione e validazione delle funzioni di sicurezza, inclusa la co- municazione digitale che supporta tali funzioni. La comunicazione è considerata parte della funzione safety quando trasporta dati il cui corretto ricevimento è essenziale per l’intervento del sistema in caso di pericolo. • La ISO13849-1 si concentra sulle parti dei sistemi di controllo legate alla sicurezza (SRP/CS), e fornisce i criteri per la valutazione del Perfor- mance Level (PL) richiesto. In questo contesto, la comunicazione è va- lutata in termini di copertura diagnostica, affidabilità del trasferimento e capacità del sistema di rilevare guasti che possono compromettere la funzione safety. • La norma IEC62061 , specifica per i sistemi di controllo di macchinari basati su tecnologie elettroniche programmabili, integra e dettaglia i requisiti per la comunicazione nel contesto del calcolo del Livello di In- tegrità della Sicurezza (SIL), tenendo conto dei tempi di risposta, della frequenza degli aggiornamenti, e della robustezza della trasmissione dei segnali rilevanti per la safety. • Infine, la IEC61784-3 definisce dei profili di comunicazione per la tra- smissione sicura dei dati nei sistemi industriali. Essa descrive come costruire i meccanismi di sicurezza (Safety Communication Layer) sopra i protocolli di comunicazione standard, come Profinet, Ethernet/ IP o Ethercat, per garantire che le comunicazioni safety soddisfino i requisiti funzionali richiesti, indipendentemente dall’affidabilità del canale sottostante. Questa norma formalizza il concetto di profilo di comunicazione safe e ne struttura l’implementazione secondo i requi- siti normativi. In sintesi, le comunicazioni che supportano funzioni di sicurezza devono: • consentire il rilevamento degli errori tramite codici di ridondanza e controlli di integrità; • gestire in modo sicuro la perdita, duplicazione o ritrasmissione di pac- chetti; • rispettare i vincoli temporali previsti dalla funzione di sicurezza; • assicurare che i dispositivi siano identificati univocamente e che i mes- saggi siano autenticabili; • supportare la tracciabilità e la diagnostica degli errori per abilitare la reazione rapida a situazioni di pericolo. Questi requisiti sono essenziali per garantire che le comunicazioni tra sen- sori, attuatori e controllori safety-critical non diventino un punto debole del sistema, compromettendo l’efficacia della funzione di sicurezza stessa. Profili di comunicazione e concetto di black channel Tutti i protocolli utilizzati per veicolare dati rilevanti per la sicurezza ope- rano secondo il principio del profilo di comunicazione: uno strato funzionale che si sovrappone al protocollo di rete sottostante e introduce meccani- smi specifici per garantire l’integrità, l’autenticità e la tempestività delle informazioni trasmesse. Questo profilo, indipendentemente dal protocollo base su cui viene implementato, è responsabile della coerenza e affidabilità della funzione di sicurezza in condizioni operative normali e in presenza di guasti. Il concetto chiave che accomuna tutti questi approcci è quello di ‘black channel’: si assume che il canale di comunicazione sottostante, come per esempio una rete Ethernet industriale, non sia intrinsecamente affidabile dal punto di vista della sicurezza funzionale. Il black channel può introdurre errori, ritardi, duplicazioni o perdite di messaggi, e non fornisce alcuna ga- ranzia rispetto alla corretta sequenzialità o autenticità dei dati. Per questo motivo, è il profilo di comunicazione a dover integrare tutti i meccanismi necessari per rendere sicuro il trasferimento delle informazioni critiche. Tra questi meccanismi troviamo: • codici di ridondanza ciclica (CRC) per il controllo dell’integrità; • numerazione dei messaggi per rilevare ritrasmissioni o perdite; • timeout per il rilevamento di ritardi eccessivi; • identificatori univoci per verificare la provenienza dei dati; • strategie di watchdog e heartbeat per garantire la continuità della comunicazione. Alcuni esempi noti di profili di comunicazione per la sicurezza sono Profi- safe, CIP Safety, FSoE (Fail Safe over Ethercat), OpenSafety, Safetynet p, Sercos CSP e AS-i Safety at Work. Questi profili si appoggiano a protocolli di rete specifici che li supportano nativamente, come Profinet, Ethernet/ IP, Ethercat o AS-Interface. Ogni profilo aggiunge al protocollo di trasporto sottostante gli elementi necessari per garantire che i dati rilevanti per la safety siano trasmessi in modo integro, confidenziale e tempestivo rispetto alla deadline funzionale della funzione di sicurezza. Security for safety e safety for security La safety ha come obiettivo primario la protezione delle persone e dell’ambiente da eventuali conseguenze di guasti, errori o condizioni anomale all’interno di un impianto. La security, d’altra parte, è focaliz- zata sulla protezione del sistema da minacce deliberatamente indotte da attori malevoli, come attacchi informatici, accessi non autorizzati o manipolazione dei dati. Tradizionalmente trattate come ambiti separati, queste due discipline convergono oggi in maniera sempre più stretta, soprattutto nei sistemi di automazione industriale in cui le funzioni di sicurezza dipendono da dispo- sitivi interconnessi e da comunicazioni digitali. Questa convergenza si ar- ticola nei concetti di ‘security for safety’ e ‘safety for security’: nel primo caso, la sicurezza informatica è al servizio della protezione delle funzioni safety, impedendo che attacchi possano manipolare dati o dispositivi coinvolti nella sicurezza funzionale; nel secondo caso, la progettazione delle funzioni di sicurezza viene orientata a garantire il comportamento fail-safe, anche in presenza di attacchi informatici, contribuendo quindi alla protezione complessiva del sistema. In questi contesti, un attacco informatico può compromettere direttamente la capacità del sistema di

RkJQdWJsaXNoZXIy Mzg4NjYz